| Gazzetta n. 161 del 13 luglio 2007 (vai al sommario) |
| GARANTE PER LA PROTEZIONE DEI DATI PERSONALI |
| DELIBERAZIONE 14 giugno 2007 |
| Linee guida in materia di trattamento di dati personali di lavoratori per finalita' di gestione del rapporto di lavoro in ambito pubblico. |
| IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale; Visto il Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196), anche in riferimento all'art. 154, comma 1, lettera h); Esaminate le istanze (segnalazioni e quesiti) pervenute riguardo al trattamento di dati personali di lavoratori per finalita' di gestione del rapporto di lavoro in ambito pubblico; Ritenuta l'opportunita' di individuare un quadro unitario di misure e di accorgimenti necessari e opportuni, volti a fornire orientamenti utili per cittadini e amministrazioni interessate; Visto il testo unico delle leggi sull'ordinamento degli enti locali (decreto legislativo 18 agosto 2000, n. 267); Vista la documentazione in atti; Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante, n. 1/2000; Relatore il dott. Mauro Paissan; Delibera: 1. Di adottare le «Linee guida in materia di trattamento di dati personali di lavoratori per finalita' di gestione del rapporto di lavoro in ambito pubblico» contenute nel documento allegato quale parte integrante della presente deliberazione (allegato 1); 2. Che copia del presente provvedimento sia trasmessa al Ministero della giustizia - Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana ai sensi dell'art. 143, comma 2, del Codice. Roma, 14 giugno 2007 Il presidente: Pizzetti Il segretario generale: Buttarelli Il relatore: Paissan |
| ALLEGATO 1 GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Linee guida in materia di trattamento di dati personali di lavoratori per finalita' di gestione del rapporto di lavoro in ambito pubblico (Deliberazione n. 23 del 14 giugno 2007) Sommario 1. Premessa 1.1. Scopo delle linee guida. 1.2. Ambiti considerati. 2. Il rispetto dei principi di protezione dei dati personali. 2.1. Considerazioni generali. 2.2. Liceita', pertinenza, trasparenza. 2.3. Finalita'. 3. Titolare, responsabile e incaricati del trattamento. 3.1. Corretta individuazione delle figure. 3.2. Medico competente. 4. Dati sensibili e rapporti di lavoro. 5. Comunicazione di dati personali. 5.1. Comunicazione. 5.2. Rapporti con le organizzazioni sindacali. 5.3. Modalita' di comunicazione. 6. Diffusione di dati personali. 6.1. Dati relativi a concorsi e selezioni. 6.2. Dati relativi all'organizzazione degli uffici, alla retribuzione e ai titolari di cariche e incarichi pubblici. 6.3. Atti in materia di organizzazione degli uffici. 6.4. Cartellini identificativi. 7. Impronte digitali e accesso al luogo di lavoro. 7.1. Principi generali. 7.2. Casi particolari. 8. Dati idonei a rivelare lo stato di salute. 8.1. Dati sanitari. 8.2. Assenze per ragioni di salute. 8.3. Denuncia all'Inail. 8.4. Visite medico legali. 8.5. Abilitazione al porto d'armi e alla guida. 8.6. Altre informazioni relative alla salute. 9. Dati idonei a rivelare le convinzioni religiose. 1. Premessa. 1.1. Scopo delle linee guida. Per fornire indicazioni e raccomandazioni riguardo alle operazioni di trattamento effettuate con dati personali (anche sensibili) di lavoratori alle dipendenze di datori di lavoro pubblici, il Garante ravvisa l'esigenza di adottare le presenti linee guida, suscettibili di periodico aggiornamento, nelle quali si tiene conto di precedenti decisioni dell'Autorita'. Le presenti linee guida seguono quelle adottate rispetto agli analoghi trattamenti effettuati da datori di lavoro privati (1), con le quali coincidono per molteplici aspetti che sono comunque riprodotti nel presente documento. L'adozione di distinte linee guida per il settore pubblico deriva dall'esigenza di evidenziare, nel quadro della tendenziale uniformita' dei principi applicabili al rapporto di lavoro (2) alcune specificita' che si pongono per i soggetti pubblici datori di lavoro (taluni presupposti del trattamento; speciali disposizioni che prevedono casi di necessaria comunicazione o diffusione di dati; situazioni particolari). Come per il settore privato, le indicazioni fornite non pregiudicano l'applicazione delle disposizioni di legge o di regolamento che stabiliscono particolari divieti o limiti in relazione a taluni settori o a specifici casi di trattamento (artt. 113, 114 e 184, comma 3, del Codice). 1.2. Ambiti considerati. Le tematiche prese in considerazione si riferiscono, in particolare, alla comunicazione e alla diffusione di dati e al trattamento delle informazioni sensibili (in specie, di quelli idonei a rivelare lo stato di salute e le convinzioni religiose) o di dati biometrici relativi a lavoratori alle dipendenze di pubbliche amministrazioni. 2. Il rispetto dei principi di protezione dei dati personali. 2.1. Considerazioni generali. Anche per i datori di lavoro pubblici il trattamento dei dati personali e' disciplinato assicurando un livello elevato di tutela dei diritti e delle liberta' fondamentali e conformando il medesimo trattamento ai principi di semplificazione, armonizzazione ed efficacia, sia per le modalita' di esercizio dei diritti, sia per l'adempimento degli obblighi da parte dei titolari del trattamento (3). I lavoratori, nel rapporto con il proprio datore di lavoro pubblico, hanno diritto di ottenere che il trattamento dei dati effettuato mediante l'uso di tecnologie telematiche sia conformato al rispetto dei predetti diritti e liberta' (4). Assume quindi particolare rilievo la necessita' che i soggetti pubblici colgano l'occasione della progressiva introduzione di nuove tecniche rispetto alle modalita' tradizionali di trattamento dei dati su base cartacea per valutare preventivamente come rendere efficienti i propri sistemi informativi, individuando forme adeguate di trattamento che tutelino appieno i lavoratori. Le cautele e gli accorgimenti devono essere opportunamente graduati tenendo conto anche delle diverse forme del trattamento e della differente natura dei dati comuni e sensibili. 2.2. Liceita', pertinenza, trasparenza. Il datore di lavoro pubblico puo' lecitamente trattare dati personali dei lavoratori nella misura in cui cio' sia necessario per la corretta gestione del rapporto di lavoro, avendo atra di applicare le previsioni che riguardano le proprie funzioni istituzionali o il rapporto di lavoro, contenute in leggi, regolamenti, contratti e in accordi collettivi, in modo da avvalersi di informazioni personali e modalita' di trattamento proporzionate ai singoli scopi. Il Codice in materia di protezione dei dati personali, anche in attuazione di direttive comunitarie (nn. 95/46/Ce e 2002/58/Ce), prescrive che il trattamento di dati personali per la gestione del rapporto di lavoro avvenga, in particolare: - rispettando i principi di necessita', di liceita' e di qualita' dei dati (artt. 3 e 11 del Codice); - attenendosi alle funzioni istituzionali e applicando i presupposti e i limiti previsti da leggi e regolamenti rilevanti per il trattamento, in particolare in materia di pubblico impiego (art. 18 del Codice); - dando applicazione effettiva e concreta al principio di indispensabilita' nel trattamento dei dati sensibili e giudiziari, il quale vieta di trattare informazioni o di effettuare operazioni che non siano realmente indispensabili per raggiungere determinate finalita' previste specificamente (artt. 4, comma 1, lett. d) ed e), 22, commi 3, 5 e 9, e 112 del Codice); - limitando il trattamento di dati sensibili e giudiziari alle sole informazioni ed operazioni di trattamento individuate e rese pubbliche con l'atto regolamentare adottato in conformita' al parere del Garante (artt. 20, 21, 112 e 154 del Codice); - informando preventivamente e adeguatamente gli interessati (art. 13 del Codice); - adottando adeguate misure di sicurezza, idonee a preservare i dati da alcuni eventi tra cui accessi ed utilizzazioni indebiti, rispetto ai quali l'amministrazione puo' essere chiamata a rispondere anche civilmente e penalmente (artt. 15 e 31 e ss. del Codice). 2.3. Finalita'. Il trattamento dei dati personali, anche sensibili, riferibili ai lavoratori deve essere orientato in concreto all'esclusivo o prevalente scopo di adempiere agli obblighi e ai compiti in materia di rapporto di lavoro e di impiego alle dipendenze delle amministrazioni pubbliche. Oltre alle leggi e ai regolamenti, anche i contratti collettivi (nazionali e integrativi) contengono alcune previsioni che permettono di trattare lecitamente informazioni di natura personale anche per cio' che attiene all'attivita' sindacale (ad esempio, per determinare il trattamento economico fondamentale ed accessorio, per fruire di permessi o di aspettative sindacali, per accedere a qualifiche, per la mobilita' o per la responsabilita' disciplinare). Il trattamento effettuato dal soggetto pubblico deve attenersi in concreto a queste disposizioni e restare compatibile con le finalita' per le quali i dati sono stati inizialmente raccolti o gia' trattati (art. 11, comma 1, lett. b), del Codice). Particolare attenzione deve essere posta alle disposizioni dei contratti collettivi che prevedono la conoscenza di dati da parte di organizzazioni sindacali, avendo cura che il doveroso rispetto degli obblighi di informativa, consultazione, concertazione e contrattazione che comportano la comunicazione di informazioni alle medesime organizzazioni avvenga nel rispetto dei principi di necessita' e proporzionalita'. I soggetti pubblici potrebbero peraltro cogliere l'occasione dei rinnovi dei contratti collettivi per verificare l'attualita' e la chiarezza di tali previsioni contrattuali, verificando anche la loro adeguatezza rispetto a casi che si verificano in concreto (si pensi al problema della contestuale iscrizione dei lavoratori a piu' organizzazioni sindacali contestata da alcuna di esse). In questo quadro occorre anche mantenere distinti i casi m cui e prevista specificamente la comunicazione solo di dati numerici aggregati da quelli in cui, in un'ottica di trasparenza e graduazione dell'accesso delle organizzazioni sindacali ad informazioni personali che risultino necessarie per verificare in conformita' alla legge la concreta applicazione delle disposizioni del contratto collettivo da parte del datore di lavoro, e' invece consentita (ed e' giustificata in rapporto al caso concreto) la conoscenza di dati riferiti a singoli lavoratori In tale ottica, nell'ambito della disciplina contrattuale, si potrebbe pertanto prevedere di regola un accesso preliminare del sindacato a dati aggregati, riferiti all'intera struttura lavorativa o a singole unita' organizzative ovvero a gruppi di lavoratori e, soltanto in presenza di successive anomalie o di specifiche esigenze di verifica, consentire (in casi espressamente previsti e circostanziati) all'organizzazione sindacale di conoscere anche informazioni personali relative a singoli o a gruppi di lavoratori. Cio' sempreche', nel caso concreto, sia effettivamente necessario per dimostrare la corretta applicazione dei criteri pattuiti e la comunicazione sia limitata alle informazioni pertinenti e non eccedenti rispetto a tale scopo. Resta fermo che l'eventuale successivo trattamento illecito o non corretto delle informazioni acquisite da parte dell'organizzazione sindacale si svolge nella sfera di responsabilita' della medesima organizzazione (5). 3. Titolare, responsabile e incaricati del trattamento. 3.1. Corretta individuazione delle figure. Resta importante individuare correttamente i soggetti che, a diverso titolo, possono trattare i dati nell'ambito della pubblica amministrazione "titolare" del trattamento ("incaricati"; eventuali "responsabili"), definendo chiaramente le rispettive attribuzioni (artt. 4, comma 1, lett. f), g) e h), 28, 29 e 30 del Codice). Rinviando per brevita' di esposizione ai numerosi pronunciamenti del Garante sul tema, giova ricordare che in linea di principio, per individuare il titolare del trattamento, occorre far riferimento all'amministrazione o ente centrale o locale nel suo complesso, anziche' a singole articolazioni interne o alle persone fisiche che l'amministrano o la rappresentano (ad esempio, il ministro, il direttore generale o il presidente) (6). Nelle amministrazioni piu' articolate, specie di grandi dimensioni o ramificate sul territorio, e' possibile che alcune figure o unita' organizzative siano dotate in conformita' alla legge di poteri decisionali effettivamente del tutto autonomi riguardo ai trattamenti di dati personali. In tal caso, rispettando in concreto quanto previsto dal Codice (art. 28), tali articolazioni possono essere considerate lecitamente quali "titolari" autonomi o eventuali "contitolari del trattamento" (si pensi, ad esempio, ad una singola direzione generale o arca geografica di un'amministrazione ministeriale di particolare complessita' organizzativa (7)). Nel rispetto dei principi generali sopra richiamati in materia di trattamento di dati personali (cfr. punto 2), le amministrazioni devono disciplinare le modalita' del trattamento, designando gli eventuali soggetti responsabili e, in ogni caso, le persone fisiche incaricate, che possono acquisire lecitamente conoscenza dei dati inerenti alla gestione del rapporto di lavoro, attenendosi alle funzioni svolte e a idonee istruzioni scritte (artt. 4, comma 1, lett. g) e h), 29 e 30). E', infatti, facolta' delle amministrazioni designare alcuni soggetti (persone fisiche o giuridiche, enti od organismi) quali "responsabili" del trattamento, delineandone analiticamente e per iscritto i compiti attribuiti, e individuando al loro interno, se del caso, ulteriori livelli di responsabilita' in base all'organizzazione delle divisioni e degli uffici o alle tipologie di trattamenti, di archivi e di dati, sempreche' ciascuno di questi dimostri l'esperienza, la capacita' e l'affidabilita' richieste dalla legge (art. 29 del Codice). E' necessario invece che ogni lavoratore sia preposto per iscritto, in qualita' di "incaricato", alle operazioni di trattamento e sia debitamente istruito in ordine all'accesso e all'utilizzo delle informazioni personali di cui puo' venire a conoscenza nello svolgimento della propria prestazione lavorativa. La designazione degli incaricati puo' essere effettuata nominativamente o, specie nell'ambito di strutture organizzative complesse, mediante atti di preposizione del lavoratore a unita' organizzative per le quali venga altresi' previamente individuato, per iscritto, l'ambito del trattamento consentito (art. 30 del Codice). 3.2. Medico competente. Anche il datore di lavoro pubblico deve svolgere alcuni trattamenti di dati in applicazione della disciplina in materia di igiene e sicurezza del lavoro (art. 1, commi 1 e 2, d.lg. n. 626/1994 e successive modificazioni e integrazioni). Tale disciplina, che attua anche alcune direttive comunitarie e si colloca nella cornice piu' ampia delle misure necessarie a tutelare l'integrita' psicofisica dei lavoratori, pone direttamente in capo al medico competente in materia di igiene e sicurezza nei luoghi di lavoro la sorveglianza sanitaria obbligatoria (e, ai sensi degli artt. 16 e 17 del d.lg. n. 626/1994, il correlato trattamento dei dati contenuti in cartelle cliniche). In questo ambito il medico competente effettua accertamenti preventivi e periodici sui lavoratori (art. 33 d.P.R. n. 303/1956; art. 16 d.lg. n. 626/1994) e istituisce (curandone l'aggiornamento) una cartella sanitaria e di rischio (in conformita' alle prescrizioni contenute negli artt. 17, 59-quinquiesdecies, comma 2, lett. b), 59-sexiesdecies, 70, 72-undecies e 87 d.lg. n. 626/1994). Detta cartella e' custodita presso l'amministrazione "con salvaguardia del segreto professionale, e consegnata in copia al lavoratore stesso al momento della risoluzione del rapporto di lavoro, ovvero quando lo stesso ne fa richiesta" (artt. 4, comma 8, e 17, comma 1, lett. d), d.lg. n. 626/1994); in caso di cessazione del rapporto di lavoro le cartelle sono trasmesse all'Istituto superiore prevenzione e sicurezza sul lavoro-Ispesl (artt. 59-sexiesdecies, comma 4, 70, comma 4, 72-undecies, comma 3 e 87, comma 3, lett. c), d.lg. n. 626/1994), in originale e in busta chiusa (8). In relazione a tali disposizioni, al medico competente e' consentito trattare dati sanitari dei lavoratori anche mediante annotazione nelle cartelle sanitarie e di rischio, e curando le opportune misure di sicurezza per salvaguardare la segretezza delle informazioni trattate. Cio', quale che sia il titolare del trattamento effettuato a cura del medico. Alle predette cartelle il datore di lavoro non puo' accedere, dovendo soltanto concorrere ad assicurarne un'efficace custodia nei locali dell'amministrazione (anche in vista di possibili accertamenti ispettivi da parte dei soggetti istituzionalmente competenti) ma, come detto, "con salvaguardia del segreto professionale" (9). Il datore di lavoro pubblico e' tenuto, su parere del medico competente (o qualora quest'ultimo lo informi di anomalie imputabili all'esposizione a rischio), ad adottare le misure preventive e protettive per i lavoratori interessati; in questo specifico contesto il datore di lavoro puo' accedere al giudizio di idoneita' del lavoratore allo svolgimento di date mansioni, anziche' alle specifiche patologie accertate (10). Il medico puo' farsi assistere da personale sanitario, anche dipendente dello stesso datore di lavoro pubblico, che deve essere designato quale incaricato del trattamento dei dati personali impartendo ad esso specifiche istruzioni per salvaguardare la segretezza delle informazioni trattate (art. 30 del Codice). In tal caso, a prescindere da quale sia il titolare del trattamento e dagli eventuali obblighi in tema di segreto d'ufficio, il medico competente deve predisporre misure idonee a garantire il rispetto del segreto professionale da parte dei propri collaboratori che non siano tenuti per legge al segreto professionale, mettendoli ad esempio a conoscenza di tali disposizioni e delle relative sanzioni (art. 10 del codice di deontologia medica del 16 dicembre 2006; art. 4 del codice deontologico per gli infermieri del maggio del 1999) (11). 4. Dati sensibili e rapporto di lavoro. Le pubbliche amministrazioni devono adottare maggiori cautele se le informazioni personali sono idonee a rivelare profili particolarmente delicati della vita privata dei propri dipendenti quali la salute, le abitudini sessuali, le convinzioni politiche, sindacali, religiose, filosofiche o d'altro genere e l'origine razziale ed etnica (art. 4, comma 1, lett. d), del Codice). In linea generale il datore di lavoro pubblico puo' utilizzare informazioni sensibili relative al proprio personale in attuazione della normativa in materia di instaurazione e gestione di rapporti di lavoro di qualunque tipo, per finalita' di formazione, nonche' per concedere benefici economici e altre agevolazioni (artt. 112, 95 e 68 del Codice). Come sopra ricordato, il datore di lavoro pubblico deve limitare il trattamento dei dati sensibili e giudiziari alle sole informazioni ed operazioni individuate e rese pubbliche con l'atto regolamentare adottato in conformita' al parere del Garante (artt. 20, 21, 112 e 154 del Codice) (12). Nel perseguire tali finalita' occorre comunque rispettare i principi di necessita' e di indispensabilita' che impongono di ridurre al minimo l'utilizzo di dati personali e, quando non si possa prescindere dall'uso di informazioni personali sensibili o giudiziarie, di trattare dati solo in riferimento ai tipi di dati e di operazioni indispensabili in relazione alla specifica finalita' di gestione del rapporto di lavoro (artt. 3 e 22 del Codice). Scaduto il termine transitorio del 28 febbraio 2007, il trattamento da parte di un soggetto pubblico che non sia previsto da tali fonti normative e' ora illecito e, oltre all'inutilizzabilita' dei dati trattati, puo' comportare l'adozione di provvedimenti anche giudiziari di blocco o di divieto del trattamento (art. 154 del Codice; art. 3 d.l. 24 giugno 2004, n. 158, come modificato dalla 1. 27 luglio 2004, n. 188; art. 11, commi 1, lett. a) e 2, del Codice) (13). Resta ferma la possibilita' per le amministrazioni che non abbiano eventualmente adottato i necessari atti regolamentari entro il suddetto termine, di provvedervi comunque con sollecitudine, al fine rendere leciti i trattamenti dei dati sensibili e giudiziari. 5. Comunicazione di dati personali 5.1. Comunicazione. Specifiche disposizioni legislative o regolamentari individuano i casi in cui l'amministrazione pubblica e' legittimata a comunicare informazioni che riguardano i lavoratori a terzi, soggetti pubblici o privati (art. 19 del Codice). Quando manca una tale previsione specifica non possono essere quindi comunicati dati personali del dipendente (ad esempio, quelli inerenti alla circostanza di un'avvenuta assunzione, allo status o alla qualifica ricoperta, all'irrogazione di sanzioni disciplinari, a trasferimenti del lavoratore come pure altre informazioni contenute nei contratti individuali di lavoro) a terzi quali associazioni (anche di categoria), conoscenti, familiari e parenti. Devono ritenersi in linea generale lecite le comunicazioni a terzi di informazioni di carattere sensibile relative ad uno o piu' dipendenti, quando esse siano realmente indispensabili per perseguire le finalita' di rilevante interesse pubblico connesse all'instaurazione e alla gestione di rapporti di lavoro da parte di soggetti pubblici di cui all'art. 112 del Codice. Tali comunicazioni possono avere ad oggetto dati individuati nei pertinenti atti regolamentari dell'amministrazione e che siano in concreto indispensabili, pertinenti e non eccedenti in rapporto ai compiti e agli adempimenti che incombono al soggetto pubblico in qualita' di datore di lavoro in base alla normativa sull'ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche (artt. 20 e 22 del Codice) (14). La disciplina di protezione dei dati consente inoltre al datore di lavoro pubblico di rendere conoscibili a terzi dati personali del dipendente in attuazione delle disposizioni che definiscono presupposti, modalita' e limiti per l'esercizio del diritto d'accesso a documenti amministrativi (contenenti dati personali) (15) o che prevedono un determinato regime di conoscibilita' per talune informazioni (16), ovvero in virtu' di una delega conferita dall'interessato. Oltre a designare i soggetti che possono venire lecitamente a conoscenza dei dati inerenti alla gestione del rapporto di lavoro, quali incaricati o responsabili del trattamento, il datore di lavoro deve adottare particolari cautele anche nelle trasmissioni di informazioni personali che possono intervenire tra i medesimi incaricati o responsabili nelle correnti attivita' di organizzazione e gestione del personale. In tali flussi di dati occorre evitare, in linea di principio, di fare superflui riferimenti puntuali a particolari condizioni personali riferite a singoli dipendenti, specie se riguardanti le condizioni di salute, selezionando le informazioni di volta in volta indispensabili, pertinenti e non eccedenti (artt. 11 e 22 del Codice) (17). A tal fine, puo' risultare utile esplicitare delicate situazioni di disagio personale solo sulla base di espressioni generiche e utilizzando, in casi appropriati, codici numerici, come pure riportare tali informazioni -quale presupposto degli atti adottati- solo nei provvedimenti messi a disposizione presso gli uffici per eventuali interessati e controinteressati (limitandosi quindi a richiamarli anche nelle comunicazioni interne e indicando gli estremi o un estratto del loro contenuto) (18). 5.2 Rapporti con le organizzazioni sindacali. Le pubbliche amministrazioni possono comunicare a terzi in forma realmente anonima dati ricavati dalle informazioni relative a singoli o a gruppi di lavoratori: si pensi al numero complessivo di ore di lavoro straordinario prestate o di ore non lavorate nelle varie articolazioni organizzative, agli importi di trattamenti stipendiali o accessori individuati per fasce o qualifiche/livelli professionali, anche nell'ambito di singole funzioni o unita' organizzative. Sulla base delle disposizioni dei contratti collettivi, i criteri generali e le modalita' inerenti a determinati profili in materia di gestione del rapporto di lavoro sono oggetto di specifici diritti di informazione sindacale preventiva o successiva. Ad esclusione dei casi in cui il contratto collettivo applicabile preveda espressamente che l'informazione sindacale abbia ad oggetto anche dati nominativi del personale per verificare la corretta attuazione di taluni atti organizzativi (19), l'amministrazione puo' fornire alle organizzazioni sindacali dati numerici o aggregati e non anche quelli riferibili ad uno o piu' lavoratori individuabili (20). E' il caso, ad esempio, delle informazioni inerenti ai sistemi di valutazione dell'attivita' dei dirigenti, alla ripartizione delle ore di straordinario e alle relative prestazioni, nonche' all'erogazione dei trattamenti accessori (21). Resta disponibile per l'organizzazione sindacale anche la possibilita' di presentare istanze di accesso a dati personali attinenti ad uno o piu' lavoratori su delega o procura (art. 9, comma 2, del Codice), come pure la facolta' di esercitare il diritto d'accesso a documenti amministrativi in materia di gestione del personale, nel rispetto delle condizioni, dei limiti e delle modalita' previsti dalle norme vigenti e per salvaguardare un interesse giuridicamente rilevante di cui sia portatore il medesimo sindacato (artt. 59 e 60 del Codice) (22). Il rifiuto, anche tacito, dell'accesso ai documenti amministrativi, e' impugnabile presso il tribunale amministrativo regionale, la Commissione per l'accesso presso la Presidenza del Consiglio dei ministri o il difensore civico (artt. 25 e ss. l. 7 agosto 1990, n. 241; art. 6 d.P.R. 12 aprile 2006, n. 184). L'amministrazione puo' anche rendere note alle organizzazioni sindacali informazioni personali relative alle ritenute effettuate a carico dei relativi iscritti, in conformita' alle pertinenti disposizioni del contratto applicabile (23) e alle misure di sicurezza previste dal Codice (artt. 31-35). 5.3. Modalita' di comunicazione. Fuori dei casi in cui forme e modalita' di divulgazione di dati personali siano regolate specificamente da puntuali previsioni (cfr. art. 174, comma 12, del Codice), l'amministrazione deve utilizzare forme di comunicazione individualizzata con il lavoratore, adottando le misure piu' opportune per prevenire la conoscibilita' ingiustificata di dati personali, in particolare se sensibili, da parte di soggetti diversi dal destinatario, ancorche' incaricati di talune operazioni di trattamento (ad esempio, inoltrando le comunicazioni in plico chiuso o spillato; invitando l'interessato a ritirare personalmente la documentazione presso l'ufficio competente; ricorrendo a comunicazioni telematiche individuali). L'utilizzo del telefax come mezzo di comunicazione e' consentito sebbene, in taluni casi, specifiche disposizioni prevedano apposite modalita' di inoltro delle comunicazioni, come, ad esempio, nell'ambito di procedimenti disciplinari (24). Anche per il telefax si devono comunque adottare opportune cautele che favoriscano la conoscenza dei documenti da parte delle sole persone a cio' legittimate. 6. Diffusione di dati personali. La diffusione di dati personali riferiti ai lavoratori puo' avvenire quando e' prevista espressamente da disposizioni di legge o di regolamento (artt. 4, comma 1, lett. m) e 19, comma 3, del Codice), anche mediante l'uso delle tecnologie telematiche (art. 3 d.lg. 7 marzo 2005, n. 82, recante il "Codice dell'amministrazione digitale"). A parte quanto eventualmente previsto sul piano normativo per specifiche categorie di atti, l'amministrazione, sulla base di apposite disposizioni regolamentari puo', infatti, valorizzare anche l'utilizzo di reti telematiche per mettere a disposizione atti e documenti contenenti dati personali (es. concorsi o a selezioni pubbliche) nel rispetto dei principi di necessita', pertinenza e non eccedenza (artt. 3 e 11, comma 1, lett. d), del Codice). Occorre, poi, una specifica valutazione per selezionare le informazioni eventualmente idonee a rivelare lo stato di salute degli interessati, la cui diffusione e' vietata (artt. 22, comma 8, del Codice). A tale divieto non e' consentito derogare invocando generiche esigenze di pubblicita' connesse alla trasparenza delle procedure in materia di organizzazione del personale e degli uffici, come quelle relative alla mobilita' dei dipendenti pubblici (25). Non e' ad esempio consentito diffondere i nominativi degli aventi diritto al collocamento obbligatorio contenuti in elenchi e graduatorie, atteso che il divieto di diffusione dei dati idonei a rivelare lo stato di salute e' ribadito espressamente dal Codice anche in relazione allo svolgimento delle attivita' di concessione di benefici ed agevolazioni previste dalla legge e dai regolamenti (art. 68, comma 3, del Codice) (26). 6.1 Dati relativi a concorsi e selezioni. Nel quadro delle attivita' delle pubbliche amministrazioni si procede comunque, di regola, alla pubblicazione di graduatorie e di esiti di concorsi e selezioni pubbliche. Ad esempio, le graduatorie dei vincitori di concorsi per accedere agli impieghi nelle pubbliche amministrazioni o per attribuire specifici incarichi professionali devono essere pubblicate nel bollettino ufficiale della Presidenza del Consiglio dei ministri o dell'amministrazione interessata, dandone, se previsto, contestuale avviso sulla Gazzetta Ufficiale (27). Un analogo regime di conoscibilita' e' previsto per le procedure di reclutamento dei professori universitari di ruolo e dei ricercatori, con riferimento alle informazioni contenute nelle relazioni riassuntive dei lavori svolti dalle commissioni giudicatrici per le valutazioni comparative e negli annessi giudizi individuali e collegiali espressi sui candidati (28). La diffusione, che l'amministrazione puo' lecitamente porre in essere in base a specifiche previsioni legislative o regolamentari, deve avere ad oggetto solo i dati personali pertinenti e non eccedenti ai fini del corretto espletamento della procedura concorsuale e della sua rispondenza ai parametri stabiliti nel bando (elenchi nominativi ai quali vengano abbinati i risultati di prove intermedie, elenchi degli ammessi alle prove scritte o orali, punteggi riferiti a singoli argomenti di esame; punteggi totali ottenuti). Non risulta lecito riportare negli atti delle graduatorie da pubblicare altre tipologie di informazioni non pertinenti quali, ad esempio, recapiti di telefonia fissa o mobile o il codice fiscale (29). Anche in tale ambito i soggetti pubblici possono avvalersi di nuove tecnologie per facilitare le comunicazioni con gli interessati riguardanti concorsi o selezioni pubbliche, mediante, ad esempio, la ricezione on-line di domande di partecipazione a concorsi e selezioni, corredate di diversi dati personali. A tale proposito va rilevato che le previsioni normative che disciplinano la pubblicazione di graduatorie, esiti e giudizi concorsuali rendono, in linea generale, lecita l'operazione di diffusione dei relativi dati personali a prescindere dal mezzo utilizzato. La disciplina sulla protezione dei dati personali regola (v. art. 19, c. 3, del Codice) la diffusione di tali informazioni in maniera tendenzialmente uniforme, sia che essa avvenga attraverso una pubblicazione cartacea, sia attraverso la messa a disposizione su Internet mediante una pagina web (30). Va tuttavia evidenziato che le caratteristiche di Internet consentono a chiunque, per effetto dei comuni motori di ricerca esterni ai siti, reperire indiscriminatamente e in tempo reale un insieme consistente di informazioni personali rese disponibili in rete, piu' o meno aggiornate e di natura differente (31). Nell'utilizzare tale strumento di diffusione occorre, quindi, prevedere forme adeguate di selezione delle informazioni che potrebbero essere altrimenti aggregate massivamente mediante un comune motore di ricerca esterno ai siti. Si pensi alle pagine web contenenti dati relativi a esiti, graduatorie e giudizi di valutazione, che in termini generali dovrebbero essere conosciute piu' appropriatamente solo consultando un determinato sito Internet, oppure attribuendo solo alle persone interessate una chiave personale di accesso (a vari dati relativi alla procedura, oppure solo a quelli che li riguardano), o predisponendo, nei siti istituzionali, aree ad accesso parimenti selezionato nelle quali possono essere riportate ulteriori informazioni accessibili anche ai controinteressati (32). Ancorche', talvolta, la disciplina normativa di settore preveda espressamente forme specifiche e circoscritte di divulgazione (mediante, ad esempio, la sola messa a disposizione di documenti presso gli uffici o la sola affissione di atti in bacheche nei locali dell'amministrazione, ovvero mediante materiale affissione all'albo pretorio (33)),tali forme di pubblicazione non autorizzano, di per se', a trasporre tutti i documenti contenenti dati personali cosi' pubblicati in una sezione del sito Internet dell'amministrazione liberamente consultabile. Al tempo stesso, cio' non preclude all'amministrazione di riprodurre in rete alcuni dei predetti documenti, sulla base di una valutazione responsabile e attenta ai limiti posti dai principi di pertinenza e non eccedenza. In ogni caso, e' ovviamente consentita la diffusione in Internet di un avviso che indichi il periodo durante il quale determinati documenti sono consultabili presso l'amministrazione (34). 6.2 Dati relativi all'organizzazione degli uffici, alla retribuzione e ai titolari di cariche e incarichi pubblici. Alcuni specifici obblighi normativi - taluni dei quali si richiamano di seguito a titolo meramente esemplificativo - impongono ad amministrazioni pubbliche di rendere noti, attraverso i propri siti Internet, determinati dati personali concernenti i propri dipendenti (es. organigramma degli uffici con l'elenco dei nominativi dei dirigenti; elenco delle caselle di posta elettronica istituzionali attive) (35). Tali dati, sebbene siano di fatto disponibili in Internet, sono utilizzabili da terzi (in particolare, gli indirizzi di posta elettronica) solo in relazione ad eventi, comunicazioni e scopi correlati alle funzioni istituzionali e al ruolo ricoperto dall'interessato all'interno dell'amministrazione. I medesimi dati non sono quindi utilizzabili liberamente da chiunque per inviare, ad esempio, comunicazioni elettroniche a contenuto commerciale o pubblicitario (36). In virtu' della disciplina stil riordino della dirigenza statale le amministrazioni dello Stato possono altresi' diffondere in Internet i dati personali dei dirigenti inquadrati nei ruoli istituiti da ciascuna amministrazione (art. 23 d.lg. 30 marzo 2001, n. 165), nel rispetto dei principi di completezza, esattezza, aggiornamento, pertinenza e non eccedenza dei dati (art. 11 del Codice) (37). Altre disposizioni di settore prevedono, inoltre, specifici regimi di pubblicita' per talune informazioni personali concernenti le retribuzioni, i livelli stipendiali o le situazioni patrimoniali di titolari di cariche e incarichi pubblici. A titolo meramente esemplificativo, si menziona il caso delle amministrazioni e degli organismi tenuti a pubblicare sui propri siti Internet i compensi e le retribuzioni degli amministratori delle societa' partecipate direttamente o indirettamente dallo Stato, dei dirigenti con determinato incarico (conferito ai sensi dell'art. 19, comma 6, del d.lg. 30 marzo 2001, n. 165), nonche' dei consulenti, dei membri di commissioni e di collegi e dei titolari di qualsivoglia incarico corrisposto dallo Stato, da enti pubblici o da societa' a prevalente partecipazione pubblica non quotate in borsa (38). Un ampio regime di conoscibilita' e' previsto da specifiche disposizioni legislative anche per i livelli stipendiali e le situazioni patrimoniali di parlamentari e consiglieri di enti locali, seppure mediante differenti modalita' di diffusione (39). Alcune disposizioni permettono inoltre al datore di lavoro pubblico di acquisire, ma non di pubblicare, taluni dati personali relativi alla situazione patrimoniale dei propri dirigenti e, se vi consentono, del coniuge e dei figli conviventi, previa idonea informativa sul trattamento che ne verra' effettuato (art. 13 del Codice). Le medesime disposizioni non consentono, tuttavia, alle amministrazioni di conoscere l'integrale contenuto delle dichiarazioni dei redditi, nelle quali possono essere contenute informazioni eccedenti rispetto alla ricostruzione della situazione patrimoniale degli interessati, alcune delle quali aventi - peraltro - anche natura "sensibile" (si pensi, ad esempio, ad alcune particolari tipologie di spese per le quali sono riconosciute apposite detrazioni d'imposta) (40). 6.3. Atti in materia di organizzazione degli uffici. Salvo che ricorra una delle ipotesi sopra richiamate o previste da specifiche disposizioni legislative o regolamentari, non e' di regola lecito diffondere informazioni personali riferite a singoli lavoratori attraverso la loro pubblicazione in comunicazioni e documenti interni affissi nei luoghi di lavoro o atti e circolari destinati alla collettivita' dei lavoratori, come nelle ipotesi di informazioni riguardanti contratti individuali di lavoro, trattamenti stipendiali o accessori percepiti, assenze dal lavoro per malattia, ferie, permessi, iscrizione e/o adesione di singoli dipendenti ad associazioni. In presenza di disposizioni legislative o regolamentari che prevedono forme di pubblicazione obbligatoria delle deliberazioni adottate dall'amministrazione (41) o degli atti conclusivi di taluni procedimenti amministrativi occorre, poi, valutare con attenzione le stesse tecniche di redazione dei provvedimenti e delle deliberazioni in materia di organizzazione del personale. Nel rispetto dell'obbligo di adeguata motivazione degli atti amministrativi (42) vanno pertanto selezionate le informazioni da diffondere alla luce dei principi di pertinenza e indispensabilita' rispetto alle finalita' perseguite dai singoli provvedimenti, anche in relazione al divieto di diffusione dei dati idonei a rivelare lo stato di salute (artt. 11 e 22 del Codice). Un'attenta valutazione, nei termini sopra richiamati, e' indispensabile soprattutto quando vengono in considerazione informazioni sensibili o di carattere giudiziario: si pensi, ad esempio, agli atti in materia di concessione dei benefici previsti dalla legge 5 febbraio 1992, n. 104 e ai provvedimenti di irrogazione di sanzioni disciplinari o relativi a controversie giudiziarie nelle quali siano coinvolti singoli dipendenti (43). Con specifico riferimento alle finalita' di applicazione della disciplina in materia di concessione di benefici economici o di abilitazioni, ad esempio, il trattamento puo' comprendere la diffusione dei dati sensibili nei soli casi in cui cio' sia indispensabile per la trasparenza delle attivita' medesime, in conformita' alle leggi, e per finalita' di vigilanza e di controllo conseguenti alle attivita' medesime, fermo restando, comunque, il divieto di diffusione dei dati idonei a rivelare lo stato di salute (art. 68, comma 3, del Codice). Ove costituiscano presupposto dei provvedimenti adottati, tali informazioni vanno riportate solo negli atti a disposizione negli uffici consultabili esclusivamente da interessati e controinteressati, omettendo quindi di dettagliarle nel corpo degli atti da pubblicare e richiamandone soltanto gli estremi e/o un estratto dei relativi atti d'ufficio. 6.4. Cartellini identificativi. Analogamente, determina un'ipotesi di diffusione dei dati personali l'esibizione degli stessi su cartellini identificativi, appuntati, ad esempio, sull'abito o sulla divisa del personale di alcune strutture della pubblica amministrazione o di concessionari pubblici, in attuazione di taluni atti amministrativi di natura organizzativa, a livello sia nazionale, sia locale (44). Nell'ambito del lavoro alle dipendenze delle pubbliche amministrazioni i cartellini identificativi possono rappresentare un valido strumento per garantire trasparenza ed efficacia dell'azione amministrativa (45), nonche' per migliorare il rapporto fra operatori ed utenti. Nel selezionare i dati personali destinati ad essere diffusi attraverso i cartellini identificativi, le amministrazioni sono tenute a rispettare i principi di pertinenza e non eccedenza dei dati in rapporto alle finalita' perseguite (art. 11 del Codice), specie in assenza di necessarie disposizioni di legge o regolamento che prescrivano l'adozione per determinati dipendenti di cartellini identificativi e ne individuino eventualmente anche il relativo contenuto. In tali ipotesi, alla luce di specifiche esigenze di personalizzazione e di umanizzazione del servizio c/o di collaborazione da parte dell'utente puo' risultare giustificato, in casi particolari e con riferimento a determinate categorie di dipendenti, riportare nei cartellini elementi identificativi ulteriori rispetto alla qualifica, al ruolo professionale, alla fotografia o ad un codice identificativo quali, ad esempio, le loro generalita' (si pensi alle prestazioni sanitarie in regime di ricovero ospedaliero e al rapporto fiduciario che si instaura tra il paziente e gli operatori sanitari coinvolti). 7. Impronte digitali e accesso al luogo di lavoro Anche nell'ambito del pubblico impiego (46), non e' consentito utilizzare in modo generalizzato sistemi di rilevazione automatica delle presenze dei dipendenti mediante la raccolta di dati biometrici, specie se ricavati dalle impronte digitali. I dati biometrici, per la loro peculiare natura, richiedono l'adozione di elevate cautele per prevenire possibili pregiudizi a danno degli interessati, con particolare riguardo a condotte illecite che determinino l'abusiva "ricostruzione" dell'impronta digitale, partendo dal modello di riferimento (template), e la sua ulteriore "utilizzazione" a loro insaputa. 7.1. Principi generali Il trattamento dei dati personali relativi alla rilevazione dell'orario di lavoro e' riconducibile alle finalita' perseguite dai soggetti pubblici quali datori di lavoro legittimati ad accertare il rispetto dell'orario di lavoro mediante "forme di controlli obiettivi e di tipo automatizzato" (47) (e in taluni casi a garantire speciali livelli di sicurezza), ma deve essere effettuato nel pieno rispetto della disciplina in materia di protezione dei dati personali. Il principio di necessita' impone a ciascuna amministrazione titolare del trattamento di accertare se la finalita' perseguita possa essere realizzata senza dati biometrici o evitando ogni eccesso nel loro utilizzo che ne comporti un trattamento sproporzionato (artt. 3 e 11 del Codice). Devono essere quindi valutati preventivamente altri sistemi, dispositivi e misure di sicurezza fisiche e logicistiche che possano assicurare una puntuale e attendibile verifica delle presenze e degli ingressi sul luogo di lavoro. Resta in particolare privo di giuridico fondamento l'utilizzo di sistemi di rilevazione delle impronte digitali per verificare l'esatto adempimento di prestazioni lavorative, ove siano attivabili misure "convenzionali" non lesive dei diritti della persona quali, ad esempio, apposizioni di firme anche in presenza di eventuale personale incaricato, fogli di presenza o sistemi di timbratura mediante badge magnetico. Di regola, non e' pertanto consentito il trattamento di dati relativi alle impronte digitali per accertare le ore di lavoro prestate effettivamente dal personale dislocato anche in sedi distaccate o addetto a servizi esterni, con riferimento, ad esempio, all'esigenza di computare con sistemi oggettivi le turnazioni, l'orario flessibile, il recupero, i permessi, il lavoro straordinario, i buoni pasto, nonche' di prevenire eventuali usi abusivi o dimenticanze del badge. Non puo' desumersi alcuna approvazione implicita dal semplice inoltro al Garante di note relative a progetti di installazione di impianti di rilevazione di impronte digitali, cui eventualmente non segua un esplicito riscontro dell'Autorita' 7.2. Casi particolari Di regola, sistemi di rilevazione di impronte digitali nel luogo di lavoro possono essere quindi attivati soltanto per particolari esigenze di controllo dell'accesso a speciali aree dei luoghi di lavoro in cui si debbano assicurare elevati e specifici livelli di sicurezza, in relazione a specifiche necessita' quali, ad esempio, la destinazione dell'area interessata: 1) allo svolgimento di attivita' aventi particolare carattere di segretezza, ovvero prestate da personale selezionato e impiegato in attivita' che comportano la necessita' di trattare informazioni rigorosamente riservate (es. accesso a sale operative ove confluiscono segnalazioni afferenti alla sicurezza anticrimine; aree adibite ad attivita' inerenti alla difesa e alla sicurezza dello Stato; ambienti di torri di controllo aeroportuali); 2) alla conservazione di oggetti di particolare valore o la cui disponibilita' deve essere ristretta ad un numero circoscritto di dipendenti in quanto un loro utilizzo improprio puo' determinare una grave e concreta situazione di rischio per la salute e l'incolumita' degli stessi o di terzi (es. ambienti ove sono custodite sostanze stupefacenti o psicotrope). Nelle ipotesi sopramenzionate il trattamento di dati relativi alle impronte digitali e' ammesso a condizione che: - sia sottoposto con esito positivo - di regole, a seguito di un interpello del titolare (48) - alla verifica preliminare, che l'Autorita' si riserva di effettuare ai sensi dell'art. 17 del Codice anche per determinate categorie di titolari o di trattamenti; - venga effettuata preventivamente la notificazione al Garante (artt. 37, comma 1, lett. a) e 38 del Codice); - non sia comunque registrata l'immagine integrale dell'impronta digitale, bensi' solo il modello di riferimento da essa ricavato (template); - tale modello non sia archiviato in una memoria centralizzata, bensi' in un supporto posto nell'esclusiva disponibilita' dell'interessato (smart card o dispositivo analogo) e privo di indicazioni nominative riferibili a quest'ultimo (essendo sufficiente attribuire a ciascun dipendente un codice individuale); - sia fornita ai dipendenti interessati uri informativa specifica per il trattamento in questione (art. 13 del Codice). 8. Dati idonei a rivelare lo stato di salute. 8.1. Dati sanitari. Il datore di lavoro pubblico deve osservare cautele particolari anche per il trattamento dei dati sensibili (artt. 4, comma 1, lett. d), 20 e 112 del Codice) e, segnatamente, di quelli idonei a rivelare lo stato di salute. Nel trattamento di queste informazioni l'amministrazione deve rispettare anzitutto i principi di necessita' e di indispensabilita', valutando specificamente il rapporto tra i dati sensibili e gli adempimenti derivanti da compiti e obblighi di volta in volta previsti dalla legge (artt. 20 e 22 del Codice). E' importante valorizzare tali principi nell'applicare disposizioni di servizio e regolamenti interni precedenti alla disciplina in materia di protezione dei dati personali. In tale quadro non risultano, ad esempio, lecite le modalita' -utilizzate da amministrazioni militari e forze di polizia, a fini di organizzazione del lavoro c/o di turni di servizio- che prevedono la redazione di un elenco nominativo di ufficiali o agenti in licenza, recante: - l'indicazione "per convalescenza" o "in aspettativa", per regolare l'accesso alla caserma del personale assente dal servizio (49); - l'indicazione, su ordini di servizio o altri atti affissi nei luoghi di lavoro, i motivi giustificativi delle assenze del personale (utilizzando, ad esempio, diciture quali "a riposo medico"). Particolari accorgimenti per la gestione dei dati sensibili possono essere previsti anche da norme estranee al Codice in materia di protezione dei dati personali, ma volte comunque a contenere, nei limiti dell'indispensabile, i dati dei quali il datore di lavoro puo' venire a conoscenza per instaurare e gestire il rapporto di lavoro (50). La disciplina contenuta nel Codice deve essere quindi coordinata e integrata (cfr. punto 3.2.) con altre regole settoriali (51) o speciali (52). 8.2. Assenze per ragioni di salute. Riguardo al trattamento di dati idonei a rivelare lo stato di salute, la normativa sul rapporto di lavoro e le disposizioni contenute in contratti collettivi possono giustificare il trattamento dei dati relativi a casi di infermita' che determinano un'incapacita' lavorativa (temporanea o definitiva), con conseguente accertamento di condizioni di salute del lavoratore da parte dell'amministrazione di appartenenza 52, anche al fine di accertare l'idoneita' al servizio, alle mansioni o allo svolgimento di un proficuo lavoro (54). Tra questi ultimi puo' rientrare anche una informazione relativa all'assenza dal servizio per malattia, indipendentemente dalla circostanza che sia contestualmente indicata esplicitamente la diagnosi (55). Non diversamente, il datore di lavoro puo' in vari casi trattare legittimamente dati sensibili relativi all'invalidita' o all'appartenenza a categorie protette, nei modi e per le finalita' prescritte dalla vigente normativa in materia (art. 112, comma 2, lett. a) del Codice) (56). A tale riguardo va rilevata la sussistenza di specifici obblighi normativi nei riguardi del lavoratore per consentire al datore di lavoro di verificare le sue reali condizioni di salute nelle forme di legge 57. Per attuare tali obblighi e' ad esempio previsto che venga fornita all'amministrazione di appartenenza un'apposita documentazione a giustificazione dell'assenza, consistente in un certificato medico contenente la sola indicazione dell'inizio e della durata presunta dell'infermita': c.d. "prognosi" (58). In assenza di speciali disposizioni di natura normativa, che dispongano diversamente per specifiche figure professionali (59), il datore di lavoro pubblico non e' legittimato a raccogliere certificazioni mediche contenenti anche l'indicazione della diagnosi (60). Anche nei casi in cui la raccolta dei dati relativi alla diagnosi sia effettuata lecitamente sulla base di tali disposizioni, in conformita' ai principi di proporzionalita' e indispensabilita', non e' consentito all'amministrazione di appartenenza trascrivere nei documenti caratteristici o matricolari del personale le indicazioni sulla prognosi e la diagnosi contenute nei certificati prodotti dall'interessato per giustificare le assenze dal servizio (artt. 11, comma 1, lett. e) e 22, comma 9, del Codice) (61). A tale riguardo, va anzi rilevato che, qualora il lavoratore produca documentazione medica recante anche l'indicazione della diagnosi insieme a quella della prognosi, l'amministrazione (salvi gli speciali casi eventualmente previsti nei termini sopra indicati) deve astenersi dall'utilizzare ulteriormente tali informazioni (art. 11, comma 2, del Codice) invitando anche il personale a non produrne altri con le medesime caratteristiche (62). In linea generale, all'esito delle visite di controllo sullo stato di infermita' - effettuate da medici dei servizi sanitari pubblici (art. 5, l. 20 maggio 1970, n. 300) (63) -, il datore di lavoro pubblico e' legittimato a conoscere i dati personali dei lavoratori riguardanti la capacita' o l'incapacita' al lavoro e la prognosi riscontrata, con esclusione di qualsiasi informazione attinente alla diagnosi (64). In tale quadro, il datore di lavoro puo', al fine di far valere i propri diritti in relazione a fenomeni di ritenuto assenteismo e di eventuale non veritiera certificazione sanitaria, redigere note informative, segnalazioni o denunce contenenti anche riferimenti circostanziati alle ragioni e alle modalita' delle singole assenze e individuandone i destinatari nel rispetto dei principi di indispensabilita', pertinenza e non eccedenza (65). Sulla base degli elementi acquisiti da segnalazioni e quesiti pervenuti all'Autorita', risulta giustificata, alla luce delle disposizioni contenute nei contratti collettivi, la conoscenza da parte dell'amministrazione di appartenenza di informazioni personali relative all'effettuazione di visite mediche, prestazioni specialistiche o accertamenti clinici, nonche' alla presenza di patologie che richiedono terapie invalidanti (66), quando il dipendente richiede di usufruire del trattamento di malattia o di permessi retribuiti per le assenze correlate a tali esigenze. 8.3. Denuncia all'Inail. Per dare esecuzione ad obblighi di comunicazione relativi a dati sanitari, in taluni casi il datore di lavoro puo' anche venire a conoscenza delle condizioni di salute del lavoratore. Tra le fattispecie piu' ricorrenti deve essere annoverata la denuncia all'istituto assicuratore (Inail) avente ad oggetto infortuni e malattie professionali occorsi ai lavoratori; essa, infatti, per espressa previsione normativa, deve essere corredata da specifica certificazione medica (artt. 13 e 53 d.P.R. n. 1124/1965). In tali casi l'amministrazione, pur potendo conoscere la diagnosi, deve comunicare all'ente assicurativo solo le informazioni sanitarie relative o collegate alla patologia denunciata, anziche' dati sulla salute relativi ad altre assenze che si siano verificate nel corso del rapporto di lavoro, la cui eventuale comunicazione sia eccedente e non pertinente -con la conseguente loro inutilizzabilita-, trattandosi di dati non rilevanti nel caso oggetto di denuncia (art. 11, commi 1 e 2, del Codice) (67). 8.4. Visite medico-legali. Le pubbliche amministrazioni possono trattare legittimamente dati idonei a rivelare lo stato di salute dei propri dipendenti, non solo per accertare, anche d'ufficio, attraverso le strutture sanitarie pubbliche competenti, la persistente idoneita' al servizio, alle mansioni o allo svolgimento di un proficuo lavoro (68), ma anche per riconoscere la dipendenza da causa di servizio, per concedere trattamenti pensionistici di privilegio o l'equo indennizzo (69) ovvero per accertare, sempre per fini pensionistici, la sussistenza di stati invalidanti al servizio o di inabilita' non dipendenti da causa di servizio (artt. 20 e 112, comma 2, lett. d) del Codice) (70). Nel disporre tali accertamenti le amministrazioni possono comunicare ai collegi medici competenti i dati personali sensibili del dipendente dei quali dispongano, nel rispetto del principio di indispensabilita' (art. 22, commi 1, 5 e 9) (71); devono inoltre conformare il trattamento dei dati sanitari del lavoratore secondo modalita' volte a prevenire violazioni dei diritti, delle liberta' fondamentali e della dignita' dell'interessato, anche in riferimento al diritto alla protezione dei dati personali (cfr. par. 4.3) (72). Analoghi accorgimenti devono essere adottati dagli organismi di accertamento sanitario all'atto sia della convocazione dell'interessato a visita medico-collegiale, sia della comunicazione dell'esito degli accertamenti effettuati all'amministrazione di appartenenza del lavoratore, ed eventualmente all'interessato medesimo. In particolare, nel caso di accertamenti sanitari finalizzati ad accertare l'idoneita' al servizio, alle mansioni o a proficuo lavoro del dipendente, alla luce del principio di indispensabilita', i collegi medici devono trasmettere all'amministrazione di appartenenza dell'interessato il relativo verbale di visita con la sola indicazione del giudizio medico-legale di idoneita', inidoneita' o di altre forme di inabilita' 73 (3). Qualora siano trasmessi dagli organismi di accertamento sanitario verbali recanti l'indicazione della diagnosi dell'infermita' o della lesione che determinano un incapacita' lavorativa, i datori di lavoro non possono, comunque, utilizzare ulteriormente tali informazioni (art. 11, comma 2, del Codice). 8.5. Abilitazioni al porto d'armi e alla guida. In conformita' alle norme sulle autorizzazioni di polizia per la detenzione ed il porto d'armi, le amministrazioni possono di regola trattare i dati relativi agli esiti delle visite medico-legali cui sottopongono i propri dipendenti per consentire l'adozione da parte degli uffici competenti dei provvedimenti sull'arma di servizio, ove si tratti di agenti di pubblica sicurezza, abilitati al porto di pistola (74). La normativa di settore e le disposizioni contenute nei contratti collettivi non autorizzano, invece, le pubbliche amministrazioni a comunicare agli uffici competenti del Dipartimento per i trasporti terrestri informazioni idonee a rivelare lo stato di salute dei propri dipendenti, ancorche' acquisite legittimamente, per consentire di verificare la persistenza in capo a questi ultimi dei requisiti fisici e psichici previsti dalla legge per il conseguimento della patente di guida (75). Allo stato dell'attuale normativa tale attivita' comporta, infatti, un flusso di dati personali sensibili verso l'amministrazione dei trasporti che non risulta trovare una base di legittimazione in un'idonea disposizione normativa (76), ne' risulta altrimenti riconducibile alle finalita' di rilevante interesse pubblico connesse alla gestione di rapporti di lavoro da parte dell'amministrazione di appartenenza dell'interessato (art. 112 del Codice) (77). Siffatte operazioni di comunicazione non possono ritenersi lecite anche se effettuate da forze armate e di polizia che, in base al Codice della strada, provvedano direttamente nei riguardi del personale in servizio all'individuazione e all'accertamento dei requisiti necessari alla guida dei veicoli in loro dotazione e al rilascio del relativo titolo abilitativo (78), attesa la diversita' dei presupposti per il conferimento (o l'eventuale sospensione o ritiro) della patente militare rispetto a quella civile e la sfera di discrezionalita' ad esse conferite (79). 8.6. Altre informazioni relative alla salute. Devono essere presi in considerazione altri casi nei quali puo' effettuarsi un trattamento di dati relativi alla salute del lavoratore (e anche di suoi congiunti), al fine di permettergli di godere dei benefici di legge: si pensi, ad esempio, alle agevolazioni previste per l'assistenza a familiari disabili, ai permessi retribuiti e ai congedi per gravi motivi familiari. In attuazione dei principi di indispensabilita', pertinenza e non eccedenza, in occasione di istanze volte ad usufruire dei congedi a favore dei lavoratori con familiari disabili in situazione di gravita', l'amministrazione di appartenenza non deve venire a conoscenza di dati personali del congiunto portatore di handicap relativi alla diagnosi o all'anamnesi accertate dalle commissioni mediche indicate dall'art. 4 della l. 5 febbraio 1992, n. 104 (80). A tal fine, infatti, il lavoratore deve presentare al datore di lavoro una certificazione dalla quale risulti esclusivamente l'accertata condizione di handicap grave per opera delle commissioni mediche di cui all'art. 1 della legge 15 ottobre 1990, n. 295 (81). Diversamente, per usufruire di permessi o congedi per gravi infermita' o altri gravi motivi familiari, il lavoratore e' tenuto per legge a produrre alla propria amministrazione idonea documentazione medica attestante le gravi infermita' o le gravi patologie da cui risultano affetti i propri familiari (82). Allo stesso modo, il datore di lavoro puo' venire a conoscenza dello stato di tossicodipendenza di un proprio dipendente o di un familiare di questi, in caso di richieste di accesso o concorso a programmi riabilitativi o terapeutici con conservazione del posto di lavoro (senza retribuzione), atteso l'onere di presentare (nei termini prescritti dai contratti collettivi e dagli accordi di lavoro per il pubblico impiego) specifica documentazione medica al datore di lavoro (83). 9. Dati idonei a rivelare le convinzioni religiose. Analoghe cautele devono essere osservate nel trattamento di altre tipologie di informazioni sensibili relative al lavoratore, quali quelle idonee a rivelarne le convinzioni religiose. Il trattamento di queste informazioni deve ritenersi in via generale lecito soltanto ove risulti indispensabile per la gestione da parte dei soggetti pubblici del rapporto di lavoro e di impiego, e, in particolare, per consentire l'esercizio delle liberta' religiose riconosciute ai lavoratori appartenenti a determinate confessioni, in conformita' alle disposizioni di legge e di regolamento che regolano i rapporti tra lo Stato e le medesime confessioni. Ad esempio, i dati sulle convinzioni religiose possono venire in considerazione per la concessione dei permessi per festivita' religiose su specifica richiesta dell'interessato motivata per ragioni di appartenenza a una determinata confessione (84). Le convinzioni religiose potrebbero emergere, inoltre, in relazione al contesto in cui sono trattate o al tipo di trattamento effettuato, da alcune particolari scelte del lavoratore, rispondenti a determinati dettami religiosi, per il servizio di mensa eventualmente apprestato presso il luogo di lavoro. Inoltre, in base alle specifiche norme sull'accesso agli impieghi nelle pubbliche amministrazioni e le modalita' di svolgimento dei concorsi, dei concorsi unici e delle altre forme di assunzione nei pubblici impieghi, le prove del concorso scritte e orali non possono aver luogo, ai sensi della legge 8 marzo 1989, n. 101 , nei giorni di festivita' religiose ebraiche rese note con decreto del Ministro dell'interno mediante pubblicazione nella Gazzetta Ufficiale della Repubblica, nonche' nei giorni di festivita' religiose valdesi (85). In tale quadro, pertanto, nel fissare il diario delle prove concorsuali per l'accesso ai pubblici impieghi, non risulta giustificata la raccolta sistematica e preventiva dei dati relativi alle convinzioni religiose dei predetti candidati (86) essendo sufficiente fissare le prove in giorni non coincidenti con dette festivita'. -------------------------------------------- (1) Provv. 23 novembre 2006, n. 53, in www.garanteprivacy.it, doc. web n. 1364099, e in G.U. 7 dicembre 2006, n. 285. (2) Anche per le presenti linee guida si e' tenuto conto della Raccomandazione n. R (89) 2 del Consiglio d'Europa relativa alla protezione dei dati a carattere personale utilizzati ai fini dell'occupazione, del Parere n. 8/2001 sul trattamento dei dati personali nel contesto dell'occupazione, reso il 13 settembre 2001 dal Gruppo Art. 29 dei Garanti europei (in http://ec.europa.eu), nonche' del Code of practice, "Protection of workers' personal data", approvato dall'Organizzazione internazionale del lavoro (Oil). (3) Art. 2, comma 2, del Codice. (4) Art. 2, comma 5, del Codice dell'amministrazione digitale (d.lg. 7 marzo 2005, n. 82 cosi' come modificato dal d.lg. 4 aprile 2006, n. 159). (5) L'organizzazione sindacale potra' a sua volta comunicare a terzi o diffondere i dati personali ottenuti dall'amministrazione soltanto previa acquisizione del consenso informato dei dipendenti interessati o di altro presupposto equipollente (art. 24 del Codice). (6) Provv. 30 dicembre 2003, in www.garanteprivacy.it, doc. web n. 1085621. (7) Note 9 dicembre 1997, ivi, doc. web nn. 30915 e 39785. (8) Cfr. circolare Ispesl 3 marzo 2003, n. 2260. (9) Art. 4, comma 8, d.lg. 19 settembre 1994, n. 626. (10) Provv. 23 novembre 2006, in www.garanteprivacy.it, doc. web n. 1364099. (11) Provv. 9 novembre 2005, in www.garanteprivacy.it, doc. web n. 1191411. (12) A titolo di esempio, oltre ad alcuni regolamenti concernenti amministrazioni centrali (Ministero della difesa, d.m. 13 aprile 2006, n. 203, in G.U. 1° giugno 2006, n. 126; Ministero dell'interno, d.m. 21 giugno 2006, n. 244, in G.U. 9 agosto 2006, n. 184, S.O.; Ministero della pubblica istruzione, d.m. 7 dicembre 2006, n. 305, in G.U. 15 gennaio 2007, n. 11; Ministero delle infrastrutture, d.m. 9 febbraio 2007, n. 21, in G.U. 16 marzo 2007, n. 63; Ministero della giustizia, d.m. 12 dicembre 2006, n. 306, in G.U. 15 gennaio 2007, n. 11; Ministero dell'universita' e della ricerca, d.m. 28 febbraio 2007, n. 54, in G.U. 26 aprile 2007, n. 96), si segnalano taluni schemi tipo di regolamento relativi ad enti locali (in www.garanteprivacy.it, doc. web n. 1174532), comunita' montane (doc. web n. 1182195) e province (doc. web n. 1175684). (13) Provv. 30 giugno 2005, in www.garanteprivacy.it, doc. web n. 1144445. (14) Art. 50 d.lg. 30 marzo 2001, n. 165 con riferimento alla trasmissione alla Presidenza del Consiglio dei ministri di informazioni nominative relative al personale che ha fruito di distacchi, permessi cumulativi sotto forma di distacco, aspettative e permessi per attivita' sindacale o per funzioni pubbliche elettive, al fine del contenimento, della trasparenza e della razionalizzazione delle aspettative e dei permessi sindacali nel settore pubblico. (15) Artt. 59 e 60 del Codice. Si vedano anche gli artt. 22 e ss. l. 7 agosto 1990, n. 241; d.P.R. 12 aprile 2006, n. 184; art. 8 d.P.R. 27 giugno 1992, n. 352; artt. 10 e 43 d.lg. 18 agosto 2000, n. 267. (16) Cfr. par. 5.1 e 5.2 delle presenti linee guida. (17) Relazione annuale per il 2004 del Garante, p. 81. (18) Provv. 12 maggio 2005, in www.garanteprivacy.it, doc. web 1137798. (19) Cfr. art. 6 Ccnl relativo al personale del comparto scuola del 24 luglio 2003. (20) Cfr. art. 40, comma 4, d.lg. n. 165/2001 e art. 28 l. 20 maggio 1970, n. 300. Si vedano anche Corte cass. 17 aprile 2004, n. 7347; Corte d'appello Torino 16 luglio 2003 in Rivista giuridica del lavoro e della previdenza sociale, 2002, parte I, p. 116; par. 7 Raccomandazione del Consiglio d'Europa n. R (89) 2; par. 10.10. del Code of practice dell'Oil. (21) Si veda, ad es., art. 37 Ccnl del personale del comparto "ministeri" del 16 maggio 1995; art. 48 del Ccnl del personale del comparto "sanita'" del 1° settembre 1995; art. 6 del Ccnl del personale del comparto "universita'"del 9 agosto 2000; art. 6, Ccnl del personale del comparto enti art. 70 d.lg. 165/2001 del 14 febbraio 2001; art. 37 Ccnl del personale del comparto delle "Istituzioni e degli enti di ricerca e sperimentazione" del 21 febbraio 2002; art. 7 Ccnl del personale del comparto delle regioni-autonomie locali del 6 luglio 1995; art. 7 Ccnl del personale del comparto regioni ed autonomie locali personale non dirigente del 1°aprile 1999. (22) Si veda, ad es., Consiglio di Stato sez. IV, 5 maggio 1998, n. 752; Tar Lombardia Milano, sez. I, 31 luglio 2002, n. 3261; Tar Emilia-Romagna 10 gennaio 2003, n. 16; Tar Calabria, sez. II, 11 luglio 2005, n. 1165; Commissione per l'accesso ai documenti amministrativi, pareri 6 luglio 2004, n. 8 e 28 giugno 2006, n. 51. (23) Si vedano ad es. cfr. art. 12 Ccnl del personale dirigente dell'area 1 del 5 aprile 2001; art. 11, Ccnl segretari comunali e provinciali del 16 maggio 2001; art. 13 Ccnl relativo al quadriennio normativo 1998-2001 del personale del comparto universita'. (24) Artt. 111 e 104 d.P.R. 10 gennaio 1957, n. 3. (25) Cfr. Provv. 27 febbraio 2002 (doc. web n. 1063639), con il quale il Garante ha vietato la diffusione di dati idonei a rivelare lo stato di salute riportati in una graduatoria dei trasferimenti affissa nella bacheca di un provveditorato agli studi. (26) Cfr. Relazione annuale del Garante 2004, p. 83. (27) Art. 15 d.P.R. 9 maggio 1994, n. 487; v. anche art. 4 d.P.R. 21 settembre 2001, n. 446; art. 18, comma 6, d.P.R. 27 marzo 2001, n. 220; art. 8 d.P.R. 28 luglio 2000, n. 271; art. 2 d.P.R. 28 luglio 2000, n. 272; art. 2 d.P.R. 28 luglio 2000, n. 270; art. 52, comma 2, r.d. 12 ottobre 1933, n. 1364. (28) Cfr. art. 6 d.P.R. 23 marzo 2000, n. 117. (29) Provv. 19 aprile 2007 recante "Linee guida in materia di trattamento di dati personali per finalita' di pubblicazione e diffusione di atti e documenti di enti locali". (30) Cfr. Comunicato stampa del Garante del 14 giugno 1999. (31) Cfr. Provv. 10 novembre 2004, doc. web n. 1116068; cfr. anche Newsletter 21-27 marzo 2005. (32) Cfr. Provv. 19 aprile 2007, cit. (33) Cfr., ad es., art. 6, comma 6, d.P.R. n. 487/1994 con riferimento agli esiti delle prove intermedie dei concorsi per accedere agli impieghi nelle pubbliche amministrazioni e art. 25, comma 3, r.d. 22 gennaio 1934, n. 37, con riferimento all'elenco degli ammessi alla prove orali per l'abilitazione alla professione di avvocato. (34) Cfr. Provv. 19 aprile 2007, cit. (35) Art. 54 d.lg. 7 marzo 2005, n. 82. (36) Cfr. Provv. 19 dicembre 2002, doc. web n. 1067231. (37) Cfr. art. 23 d.lg. n. 165/2001 e artt. 1, comma 7 e 2, comma 4, d.P.R. 23 aprile 2004, n. 108. (38) Art. 1, comma 593, l. 27 dicembre 2006, n. 296. (39) Cfr. l. 5 luglio 1982, n. 441. Si veda anche Newsletter del Garante 4-10 giugno 2001 e Corte di giustizia delle Comunita' europee, 20 maggio 2003, causa C-465/2000. (40) Cfr. art. 17, comma 22, l. 15 maggio 1997, n. 127. Si veda anche Parere 8 giugno 1999, doc. web n. 40369. Analoga disciplina vige anche per magistrati, avvocati dello Stato e procuratori, professori e ricercatori universitari di livello dirigenziale od equiparato. (41) Cfr. art. 10 e 124 d.lg. n. 267/2000. (42) Art. 3, comma 3, l. n. 241/1990. (43) Cfr. Provv. 27 febbraio 2002, doc. web 1063639, Provv. 9 dicembre 2003 e Provv. 17 aprile 2003, doc. web n. 1054640. Si vedano anche, con particolare riferimento alle deliberazioni degli enti locali, Provv. 19 aprile 2007 cit. e Provv. 25 gennaio 2007, doc. web 1386836. (44) Cfr. parte seconda, 2.3.1, b.3), d.P.C.M. 21 dicembre 1992; art. 1.1. e all. n. 8 art. 61 d.P.C.M. 19 maggio 1995; parte seconda, 2.5.1, d.P.C.M. 30 dicembre 1998 art. 4.2.2, provv. Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e Bolzano 5 agosto 1999. (45) Art. 1, l. n. 241/1990. (46) Per i dipendenti del settore privato v. Provv. 23 novembre 2006, doc. web n. 1364939. (47) Cfr. art. 18 del Codice; art. 4 dell'accordo riguardante le tipologie degli orari di lavoro ai sensi dell'art. 19, comma 5, del Ccnl comparto ministeri del 16 maggio 1995, confermato dall'art. 26 del Ccnl del 12 giugno 2003. Si veda anche l'art. 17 Ccnl del comparto del personale delle regioni-autonomie locali del 6 luglio 1995, confermato dall'art. 45 del Ccnl del 22 gennaio 2004. (48) Nell'interpello al Garante vanno specificate le caratteristiche tecnologiche delle apparecchiature utilizzate e le ragioni in base alle quali non si ritengono idonei, rispetto alle finalita' da perseguire, altri sistemi o procedure che pongono minori pericoli o rischi per i diritti e le liberta' fondamentali degli interessati. (49) Cfr. Provv. 7 luglio 2004, doc. web n. 1068839. (50) Cfr. artt. 8 e 38 l. n. 300/1970 e artt. 113 e 171 del Codice. (51) Tra le quali, ad esempio, la richiamata disciplina contenuta nel d.lg. n. 626/1994 o nell'art. 5 della l. n. 300/1970 sugli accertamenti sanitari facoltativi. (52) Si pensi ai divieti contenuti negli artt. 5 e 6 l. 5 giugno 1990, n. 135, in materia di Aids. (53) Cfr. art. 5 l. n. 300/1970; si vedano anche le pertinenti disposizioni dei contratti collettivi relativi ai differenti comparti (art. 21, comma 10, Ccnl Comparto ministeri del 16 maggio 1995; art. 17, comma 12, Ccnl relativo al personale del comparto scuola del 24 luglio 2003, gia' art. 49, lettera g) del Ccnl del 26 maggio 1999 e art. 23, comma 12, del Ccnl del 4 agosto 1995; art. 34, comma 10, Ccnl del personale non dirigente del comparto universita', del 9 agosto 2000; art. 17, comma 11, Ccnl relativo al personale del comparto delle istituzioni e degli enti di ricerca e sperimentazione del 21 febbraio 2002; art. 11, comma 12, Ccnl relativo al personale del comparto delle istituzioni di alta formazione e specializzazione artistica e musicale del 16 febbraio 2005). (54) Cfr. art. 5, comma 3, l. n. 300/1970, art. 15, d.P.R. n. 461/2001, art. 21, comma 3, Ccnl Comparto ministeri del 16 maggio 1995; art. 17, comma 3, Ccnl relativo al personale del comparto scuola del 24 luglio 2003, gia' art. 23, comma 3, del Ccnl del 4 agosto 1995; art. 34, comma 3, Ccnl del personale non dirigente del comparto universita', del 9 agosto 2000; art. 17, comma 4, Ccnl relativo al personale del comparto delle istituzioni e degli enti di ricerca e sperimentazione del 21 febbraio 2002; art. 11, comma 3, Ccnl relativo al personale del comparto delle istituzioni di alta formazione e specializzazione artistica e musicale del 16 febbraio 2005. Dall'accertamento in questione puo', inoltre, conseguire l'attribuzione all'interessato di altri incarichi o mansioni, oppure la risoluzione del rapporto di lavoro e la conseguente adozione degli atti necessari per riconoscere trattamenti pensionistici alle condizioni previste dalle disposizioni di settore. Cfr. art. 8 d.P.R. 27 febbraio 1991, n. 132 (Corpo forestale dello Stato); art. 129 d.lg. 30 ottobre 1992, n. 443 (Corpo di polizia penitenziaria); art. 15 d.P.R. 29 ottobre 2001, n. 461; art. 99 l. 22 dicembre 1975, n. 685; tossicodipendenza; art. 5 d.P.R. 20 febbraio 2001, n. 114 (carriera diplomatica); art. 5 d.P.R. 23 maggio 2001, n. 316 (carriera prefettizia); art. 2 d.m. 30 giugno 2003, n. 198 (Polizia di Stato). (55) Cfr. Provv. 7 luglio 2004, doc. web n. 1068839. V. pure il punto 50 della sentenza della Corte di giustizia delle Comunita' europee 6 novembre 2003 C-101/01, Lindqvist. (56) Cfr. l. n. 68/1999 citata e l. 29 marzo 1985, n. 113. (57) Provv. 15 aprile 2004, doc. web n. 1092564; Cfr. art. 5 l. n. 300/1970; si vedano anche le pertinenti disposizioni dei contratti collettivi di lavoro applicabili ai diversi comparti come, ad esempio, l'art. 21 Ccnl comparto ministeri personale non dirigente del 16 maggio 1995. (58) Cfr. art. 2 d.l. 30 dicembre 1979, n. 663, conv. in l., con mod., con l'art. 1, l. 29 febbraio 1980, n. 33, successivamente modificato dal comma 149 dell'art. 1, l. 30 dicembre 2004, n. 311. (59) Cfr. art. 61 d.P.R. 28 ottobre 1985, n. 782 per il personale della Polizia di Stato. (60) In tal senso si veda art. 17, comma 11, Ccnl relativo al personale del comparto scuola del 24 luglio 2003, gia' art. 49, lettera f) del Ccnl del 26 maggio 1999 e art. 23, comma 10, del Ccnl del 4 agosto 1995; art. 34, comma 9, Ccnl del personale non dirigente del comparto Universita', del 9 agosto 2000; art. 17, comma 10, Ccnl relativo al personale del comparto delle istituzioni e degli enti di ricerca e sperimentazione del 21 febbraio 2002; art. 11, comma 11, Ccnl relativo al personale del comparto delle istituzioni di alta formazione e specializzazione artistica e musicale del 16 febbraio 2005. (61) Cfr. art. 55 d.P.R. 10 gennaio 1957, n. 3 e art. 24 d.P.R. 3 maggio 1957, n. 686. Si veda anche Provv. 19 ottobre 2005, doc. web n. 1185148 con riferimento al servizio matricolare del Corpo della Guardia di finanza. (62) Cfr. par. 11 delle presenti linee guida. (63) Cfr. art. 2 d.l. 30 dicembre 1979, n. 663, conv. in l., con mod., con l'art. 1, l. 29 febbraio 1980, n. 33 e mod. dal comma 149 dell'art. 1, l. 30 dicembre 2004, n. 311. Si veda anche art. 14, lett. q), l. 23 dicembre 1978, n. 833. (64) Art. 5 d.l. 12 settembre 1983, n. 463 conv., con mod., in l. 11 novembre 1983, n. 638 e art. 6, comma 3, d.m. 15 luglio 1986. (65) Cfr. Provv. 24 settembre 2001, doc. web n. 39460 e 28 settembre 2001, doc. web n. 41103. (66) Cfr. art. 17 Ccnl del personale del comparto scuola stipulato il 24 luglio 2003; art. 17 Ccnl del personale del comparto delle istituzioni e degli enti di ricerca e sperimentazione stipulato il 21 febbraio 2002; art. 34 Ccnl del personale non dirigente del comparto Universita' stipulato il 9 agosto 2000; art. 23 Ccnl del personale del comparto sanita' stipulato il 1° settembre 1995 e art. 11 Ccnl integrativo stipulato il 20 settembre 2001; art. 21 Ccnl del personale del comparto ministeri stipulato il 16 maggio 1995 e art. 6 Ccnl integrativo stipulato il 16 maggio 2001. Si vedano anche i chiarimenti forniti dall'Aran in data 20 gennaio 2003 in relazione ai quesiti B14 e B16, in www.aranagenzia.it. (67) In tal senso v. il Provv. 15 aprile 2004, doc. web n. 1092564. (68) Art. 5, comma 3, l. n. 300/1970; art. 15 d.P.R. 29 ottobre 2001, n. 461. (69) Cfr. d.P.R. 29 dicembre 1973, n. 1092 e d.P.R. 29 ottobre 2001, n. 461. (70) Cfr. art. 2, comma 12, l. 8 agosto 1995, n. 335; art. 13, l. 8 agosto 1991, n. 274; d.P.R. 29 ottobre 2001, n. 461. (71) Artt. 7, 9, comma 2 e 15, comma 1, d.P.R. n. 461/2001. (72) Cfr. Provv. 23 luglio 2004, doc. web n. 1099216. (73) Art. 4, commi 3 e 4, d.P.R. n. 461/2001. (74) Cfr. Provv. 22 gennaio 2004, doc. web n. 1086280; v. anche, per altri profili, Provv. 15 gennaio 2004, doc. web n. 1054663 e Trib. Venezia 14 luglio 2004, n. 340. (75) Cfr. artt. 119 e 128-130 d.lg. 30 aprile 1992, n. 285. (76) Cfr. d.lg. 30 aprile 1992, n. 285 e d.P.R. 16 dicembre 1992, n. 495. (77) Cfr. artt. 119 e 128-130 d.lg. 30 aprile 1992, n. 285. In merito, poi, alle comunicazioni di dati personali sensibili da parte delle aziende sanitarie alle commissioni mediche locali per le patenti di guida si guardi il Provv. del Garante del 28 giugno 2006, doc. web n. 1322833. (78) Art. 138 d.lg. n. 285/1992. (79) Cfr. art. 138, commi 4 e 12, d.lg. n. 285/1992. Si veda anche Cons. Stato sez. IV, 14 maggio 2001, n. 2648. (80) Cfr. Provv. 21 marzo 2007, doc. web n. 1395821. (81) Cfr. art. 33 l. 5 febbraio 1992, n. 104; art. 4, comma 2, l. 8 marzo 2000, n. 53 e artt. 33 e 42 d.lg. 26 marzo 2001, n. 151; si veda anche Cass. civ., 17 agosto 1998, n. 8068. (82) Art. 4, l. 8 marzo 2000, n. 53 e d.m. 21 luglio 2000, n. 278. (83) Art. 124, commi 1 e 2, d.P.R. n. 309/1990. (84) Art. 4, comma 2, l. 8 marzo 1989, n. 101 recante "Norme per la regolazione dei rapporti tra lo Stato e l'Unione delle Comunita' ebraiche italiane"; art. 17, comma 2, l. 22 novembre 1988, n. 516 recante "Norme per la regolazione dei rapporti tra lo Stato e l'Unione italiana delle Chiese cristiane avventiste del 7 giorno". (85) Art. 6, comma 2, d.P.R. 9 maggio 1994, n. 487 "Regolamento recante norme sull'accesso agli impieghi nelle pubbliche amministrazioni e le modalita' di svolgimento dei concorsi, dei concorsi unici e delle altre forme di assunzione nei pubblici impieghi". (86) Cfr. artt. 4, comma 2 e 5, l. n. 101/1989 e art. 17, comma 2, l. n. 516/1988 cit. |
|